January 26, 2011

Запрещение пользователям добавлять компьютеры в домен

  • Пуск / Администрирование / Редактирование ADSI или adsiedit.msc
  • Подключенике к... / Выберите известный контекст именования: Контекст именования по умолчанию
  • DC=EXAMPLE,DC=COM / Свойства
  • Ставим значение 0 для атрибута ms-DS-MachineAccountQouta ( по умолчанию значение равно 10)

Для изменения контейнера по умолчанию для компьютеров, которые добавляются в домен с Computers на любой любой другой OU (к которому в дальнейшем можно будет применить объект групповой политики с явным указанием пользователей и групп, имеющих доступ на добавление компьютеров) используется утилита redircmp.exe

C:\>redircmp.exe /?
Использование:

redircmp CONTAINER-DN

где CONTAINER-DN является различающимся именем контейнера, в котором
будут по умолчанию размещаться создаваемые объекты-компьютеры.

Примечание. Требуется функциональный уровень домена не ниже Windows Server 2003


Изменения пользовательского контейнера по умолчанию производится утилитой redirusr.exe

Могут возникнуть подводные камни: http://social.technet.microsoft.com/Forums/ru-RU/ws2008r2ru/thread/f1c9bb50-de3a-4ec7-9955-23789754b7c6 

No comments:

Post a Comment